Обход идентификации в Microsoft Back Office

Дата публикации:	19.04.2002
Дата изменения:	17.10.2006
Всего просмотров:	1330
Опасность:
Наличие исправления:
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:
Описание:	Microsoft Back Office содержит ASP cистему Web идентификации. Для доступа к административным страницам, пользователь должен подтвердить подлинность, однако эту систему можно тривиально обойти. Каждый компонент ASP страниц Back Office Web Administrator содержит проверку подлинности пользователя: If Request.ServerVariables("auth_type") = "" Then Response.Status = "401 ACCESS DENIED" Response.End End If Эту систему легко обойти: GET /BOADMIN/BACKOFFICE/SERVICES.ASP HTTP/1.1 Host: hostname Authorization: Basic [enter] [enter] При этом не требуются никакие опознавательные мандаты, так как технически переменная auth_type установлена, в независимости от того, был ли введен пароль. Уязвимость найдена в Microsoft's Back Office Web Administrator 4.0, 4.5
Ссылки:	Источник

Обход идентификации в Microsoft Back Office

Подпишитесь на email рассылку